Trabajar con autónomos hace tiempo que se convirtió en parte de la rutina de muchas empresas. Incluso en una organización grande, no todas las tareas pueden resolverse dentro del equipo; por no hablar de las pequeñas empresas, que no pueden darse el lujo de contratar un empleado adicional. No obstante, conectar a una persona ajena al flujo de trabajo digital puede introducir riesgos cibernéticos adicionales, sobre todo cuando trabajas con una persona directamente sin una agencia de por medio.
Los peligros en la bandeja de entrada del correo electrónico
A la hora de buscar el trabajador autónomo correcto, no te olvides de comenzar a pensar en las posibles amenazas. Es poco probable que contrates a alguien sin echar antes un vistazo a su trabajo, por ello, es algo habitual que el autónomo te envíe un documento, un archivo con varios trabajos o un enlace a un sitio externo, información que te verás obligado a descargar o visitar. Pero lo cierto es que ese archivo o sitio podría contener casi cualquier cosa.
Con frecuencia, los investigadores descubren vulnerabilidades en navegadores o suites ofimáticas. Más de una vez, los atacantes se las arreglan para obtener el control de los ordenadores corporativos al introducir scripts maliciosos en un documento de texto o al incrustar un paquete de exploits en el código de un sitio web. Pero a veces estos trucos podrían no ser necesarios. Algunos empleados ya están dispuestos a hacer clic en un archivo recibido sin ni siquiera comprobar la extensión, por lo que podrían lanzar un archivo ejecutable.
Ten cuenta que un atacante podría mostrar un portafolio completamente normal (aunque no necesariamente de su propio trabajo) y enviar un archivo malicioso más tarde como resultado de una tarea. Además, alguien podría tomar el control del ordenador del autónomo o de su bandeja de entrada y utilizarlos para atacar a tu empresa. Después de todo, nadie sabe qué tipo de protección hay en su dispositivo o cuenta, y tu seguridad informática no puede controlar lo que sucede ahí. No debes considerar los archivos recibidos como de confianza, incluso aunque lleguen de parte de un autónomo con el que llevas trabajando años.
Cómo defenderte
Si necesitas trabajar con documentos creados fuera de la infraestructura de la empresa, mantener la higiene digital es lo más importante. Todos los empleados deben estar al tanto de las ciberamenazas relevantes, así que vale la pena elevar su nivel de concienciación en seguridad. Además, podemos darte algunos consejos prácticos:
- Asigna reglas estrictas para el intercambio de documentos, informa a los autónomos y no abras archivos si no cumplen estas reglas. ¿Archivo autoextraíble? No, gracias. ¿Un archivo con una contraseña que se especifica en la misma correspondencia? Esto podría solo ser necesario para evadir los filtros antimalware del correo electrónico.
- Utiliza un ordenador independiente, aislado del resto de la red, o una máquina virtual únicamente para trabajar con los archivos de fuentes externas o, al menos, para comprobarlos. Así podrás reducir de forma significativa cualquier daño potencial en caso de infección.
- Asegúrate de equipar este ordenador o máquina virtual con una solución de seguridad que bloquee la explotación de vulnerabilidades o los clics a un sitio web malicioso.
Derechos de acceso
Vamos a dar por hecho que has encontrado al especialista externo que buscabas. Para colaborar en un proyecto, los trabajadores autónomos obtienen acceso a los sistemas digitales de la empresa: plataformas de intercambio de documentos, sistemas de gestión de proyectos, servicios de conferencia, mensajería interna, servicios en la nube, etc. Aquí debes evitar dos errores: no otorgar demasiados permisos al trabajador autónomo y no olvidar revocar su acceso una vez que haya terminado su trabajo.
En lo que respecta a otorgar derechos, lo mejor es seguir el principio del menor privilegio. Un autónomo solo debería tener acceso a aquellos recursos que son necesarios para el proyecto actual. Un acceso ilimitado al almacenamiento de archivos o incluso al historial de conversaciones podría resultar una amenaza. No subestimes la información almacenada, incluso en los servicios auxiliares. De acuerdo con los medios de comunicación, el hackeo de Twitter en el 2020 comenzó cuando los atacantes obtuvieron acceso al chat interno de la organización. Ahí, con métodos de ingeniería social, pudieron convencer a un empleado de la empresa de que les concediera acceso a docenas de cuentas.
La revocación de derechos después de finalizar un proyecto tampoco es una formalidad. No estamos diciendo que una vez terminado el trabajo, el autónomo inmediatamente comience a hackear tu sistema de gestión de proyectos. La misma existencia de una cuenta adicional con acceso a información corporativa no es nada bueno. ¿Y si el autónomo configura una contraseña débil o reutiliza la contraseña de sus otras cuentas? En caso de filtración, existirá un punto de vulnerabilidad adicional en tu red corporativa.
Cómo defenderte
Lo más importante es eliminar o desactivar la cuenta del autónomo una vez terminada la relación laboral. O, al menos, cambiar el correo y contraseña asociados; esto podría ser necesario en los sistemas que eliminan todos los datos asociados a una cuenta. Además, recomendamos:
- Mantener un registro centralizado de quién tiene acceso a qué servicios. Por un lado, esto te ayudará a revocar todos los derechos después de finalizar el proyecto y, por otro, puede ser útil a la hora de investigar un incidente.
- Solicitar a los contratistas que mantengan una buena higiene digital y utilicen soluciones de seguridad en los dispositivos que usen para conectarse a los recursos de la empresa.
- Implementar la autentificación en dos pasos en todos los sistemas de la nube siempre que sea posible.
- Montar una infraestructura independiente para los proyectos con trabajadores autónomos o subcontratistas y sus archivos, si es posible.
- Escanear todos los archivos cargados al almacenamiento en la nube o al servidor corporativo en busca de malware.